

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# PCI DSS 4.0 操作最佳实践（包括全局资源类型）
<a name="operational-best-practices-for-pci-dss-v4-including-global-resource-types"></a>

Conformance Pack 提供了一个通用的合规框架，旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板，合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。

以下提供了支付卡行业数据安全标准 (PCI DSS) 4.0（不包括全局资源类型）和托管 AWS Config 规则之间的映射示例。每 AWS Config 条规则都适用于特定的 AWS 资源，并与一个或多个 PCI DSS 控制相关。一个 PCI DSS 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导，请参阅下表。


****  

| 控制 ID  | 控制描述  | AWS Config 规则  | 指南  | 
| --- | --- | --- | --- | 
| 1.2.5 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [cloudfront-security-policy-check](cloudfront-security-policy-check.md) | 确保 Amazon CloudFront 发行版使用最低安全策略和 TLSv1 2.2 或更高版本的密码套件进行查看者连接。如果低于 TLSv1 .2\_2018，则此规则不符合 CloudFront 分配。 minimumProtocolVersion  | 
| 1.2.5 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [cloudfront-sni-enabled](cloudfront-sni-enabled.md) | 确保亚马逊 CloudFront 分发使用自定义 SSL 证书，并配置为使用 SNI 来处理 HTTPS 请求。如果关联了自定义 SSL 证书，但 SSL 支持方法是专用 IP 地址，则此规则为 NON\_COMPLIANT。 | 
| 1.2.5 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [transfer-family-server-no-ftp](transfer-family-server-no-ftp.md) | 确保使用 Transfer Fam AWS ily 创建的服务器不使用 FTP 进行端点连接。如果端点连接的服务器协议启用 FTP，则此规则为 NON\_COMPLIANT。 | 
| 1.2.5 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [cloudfront-no-deprecated-ssl-protocols](cloudfront-no-deprecated-ssl-protocols.md) | 确保 CloudFront 分发版本未使用已弃用的 SSL 协议进行 CloudFront 边缘站点和自定义源站之间的 HTTPS 通信。如果有 “包含OriginSslProtocols”，则此规则不符合 CloudFront 分配。SSLv3 | 
| 1.2.5 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [cloudfront-traffic-to-origin-encrypted](cloudfront-traffic-to-origin-encrypted.md) | 确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。如果 “” 是 “仅限 http”，或者 “” 是 “match-viewerOriginProtocolPolicy”，而 “” 是 “allow-all”，则该规则不兼容。OriginProtocolPolicy ViewerProtocolPolicy | 
| 1.2.5 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [cloudfront-viewer-policy-https](cloudfront-viewer-policy-https.md) | 确保您的 Amazon CloudFront 分配使用 HTTPS（直接使用或通过重定向）。如果将或的值设置 ViewerProtocolPolicy 为 “allow-all”，则该 DefaultCacheBehavior 规则不合规。 CacheBehaviors | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [api-gw-endpoint-type-检查](api-gw-endpoint-type-check.md) | 确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配，则规则返回 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | 确保 Amazon CloudFront 发行版与网络应用程序防火墙 (WAF) 或 WAFv2 网络访问控制列表 (ACLs) 关联。如果 CloudFront 分配未与 WAF Web ACL 关联，则该规则不兼容。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [rds-db-security-group-not-allowed](rds-db-security-group-not-allowed.md) | 确保 Amazon Relational Database Service（Amazon RDS）数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [ec2-transit-gateway-auto-vpc-attach-disabled](ec2-transit-gateway-auto-vpc-attach-disabled.md) | 确保亚马逊弹性计算云 (Amazon EC2) Elastic Compute Gateway AutoAcceptSharedAttachments s 未启用 “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”，则 Transit Gateway 的规则不合规。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）端点不可公开访问。如果终端节点可公开访问，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [restricted-ssh](restricted-ssh.md) | 注意：对于此规则，规则标识符（INCOMING\_SSH\_DISABLED）和规则名称（restricted-ssh）是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限（CIDR 而不是 0.0.0.0/0 或 ::/0），则此规则为 COMPLIANT。否则，将为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [appsync-associated-with-waf](appsync-associated-with-waf.md) | 确保 AWS AppSync APIs 与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。如果 AWS AppSync API 未与 Web ACL 关联，则该规则不合规。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息，则此规则为 NON\_COMPLIANT；如果不包含任何登录信息，则此规则为 COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | 确保限制网络访问控制列表 (NACLs) 的 SSH/RDP 入口流量的默认端口。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [waf-global-webacl-not-empty](waf-global-webacl-not-empty.md) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [waf-global-rule-not-empty](waf-global-rule-not-empty.md) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | 确保 AWS Client VPN 授权规则不授权所有客户端的连接访问权限。如果 “AccessAll” 存在且设置为 true，则该规则不兼容。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | 确保互联网网关连接到授权的虚拟私有云（Amazon VPC）。如果互联网网关连接到未经授权的 VPC，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| 1.2.8 |  网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [api-gw-endpoint-type-检查](api-gw-endpoint-type-check.md) | 确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配，则规则返回 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | 确保 Amazon CloudFront 发行版与网络应用程序防火墙 (WAF) 或 WAFv2 网络访问控制列表 (ACLs) 关联。如果 CloudFront 分配未与 WAF Web ACL 关联，则该规则不兼容。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [rds-db-security-group-not-allowed](rds-db-security-group-not-allowed.md) | 确保 Amazon Relational Database Service（Amazon RDS）数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | 确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。如果未启用 “enhancedVpcRouting” 或配置了该规则，则该规则不兼容。 enhancedVpcRouting 字段为 “假”。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [ec2-transit-gateway-auto-vpc-attach-disabled](ec2-transit-gateway-auto-vpc-attach-disabled.md) | 确保亚马逊弹性计算云 (Amazon EC2) Elastic Compute Gateway AutoAcceptSharedAttachments s 未启用 “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”，则 Transit Gateway 的规则不合规。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）端点不可公开访问。如果终端节点可公开访问，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [restricted-ssh](restricted-ssh.md) | 注意：对于此规则，规则标识符（INCOMING\_SSH\_DISABLED）和规则名称（restricted-ssh）是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限（CIDR 而不是 0.0.0.0/0 或 ::/0），则此规则为 COMPLIANT。否则，将为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [appsync-associated-with-waf](appsync-associated-with-waf.md) | 确保 AWS AppSync APIs 与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。如果 AWS AppSync API 未与 Web ACL 关联，则该规则不合规。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息，则此规则为 NON\_COMPLIANT；如果不包含任何登录信息，则此规则为 COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | 确保限制网络访问控制列表 (NACLs) 的 SSH/RDP 入口流量的默认端口。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [waf-global-webacl-not-empty](waf-global-webacl-not-empty.md) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [waf-global-rule-not-empty](waf-global-rule-not-empty.md) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | 确保 AWS Client VPN 授权规则不授权所有客户端的连接访问权限。如果 “AccessAll” 存在且设置为 true，则该规则不兼容。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | 确保互联网网关连接到授权的虚拟私有云（Amazon VPC）。如果互联网网关连接到未经授权的 VPC，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| 1.3.1 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [api-gw-endpoint-type-检查](api-gw-endpoint-type-check.md) | 确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配，则规则返回 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | 确保 Amazon CloudFront 发行版与网络应用程序防火墙 (WAF) 或 WAFv2 网络访问控制列表 (ACLs) 关联。如果 CloudFront 分配未与 WAF Web ACL 关联，则该规则不兼容。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [rds-db-security-group-not-allowed](rds-db-security-group-not-allowed.md) | 确保 Amazon Relational Database Service（Amazon RDS）数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | 确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。如果未启用 “enhancedVpcRouting” 或配置了该规则，则该规则不兼容。 enhancedVpcRouting 字段为 “假”。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [ec2-transit-gateway-auto-vpc-attach-disabled](ec2-transit-gateway-auto-vpc-attach-disabled.md) | 确保亚马逊弹性计算云 (Amazon EC2) Elastic Compute Gateway AutoAcceptSharedAttachments s 未启用 “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”，则 Transit Gateway 的规则不合规。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）端点不可公开访问。如果终端节点可公开访问，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [restricted-ssh](restricted-ssh.md) | 注意：对于此规则，规则标识符（INCOMING\_SSH\_DISABLED）和规则名称（restricted-ssh）是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限（CIDR 而不是 0.0.0.0/0 或 ::/0），则此规则为 COMPLIANT。否则，将为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [appsync-associated-with-waf](appsync-associated-with-waf.md) | 确保 AWS AppSync APIs 与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。如果 AWS AppSync API 未与 Web ACL 关联，则该规则不合规。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息，则此规则为 NON\_COMPLIANT；如果不包含任何登录信息，则此规则为 COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | 确保限制网络访问控制列表 (NACLs) 的 SSH/RDP 入口流量的默认端口。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [waf-global-webacl-not-empty](waf-global-webacl-not-empty.md) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [waf-global-rule-not-empty](waf-global-rule-not-empty.md) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | 确保 AWS Client VPN 授权规则不授权所有客户端的连接访问权限。如果 “AccessAll” 存在且设置为 true，则该规则不兼容。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | 确保互联网网关连接到授权的虚拟私有云（Amazon VPC）。如果互联网网关连接到未经授权的 VPC，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| 1.3.2 |  进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| 1.4.1 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [api-gw-endpoint-type-检查](api-gw-endpoint-type-check.md) | 确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配，则规则返回 NON\_COMPLIANT。 | 
| 1.4.1 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | 确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。如果未启用 “enhancedVpcRouting” 或配置了该规则，则该规则不兼容。 enhancedVpcRouting 字段为 “假”。 | 
| 1.4.1 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | 确保互联网网关连接到授权的虚拟私有云（Amazon VPC）。如果互联网网关连接到未经授权的 VPC，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [api-gw-endpoint-type-检查](api-gw-endpoint-type-check.md) | 确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配，则规则返回 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | 确保 Amazon CloudFront 发行版与网络应用程序防火墙 (WAF) 或 WAFv2 网络访问控制列表 (ACLs) 关联。如果 CloudFront 分配未与 WAF Web ACL 关联，则该规则不兼容。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [rds-db-security-group-not-allowed](rds-db-security-group-not-allowed.md) | 确保 Amazon Relational Database Service（Amazon RDS）数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | 确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。如果未启用 “enhancedVpcRouting” 或配置了该规则，则该规则不兼容。 enhancedVpcRouting 字段为 “假”。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [ec2-transit-gateway-auto-vpc-attach-disabled](ec2-transit-gateway-auto-vpc-attach-disabled.md) | 确保亚马逊弹性计算云 (Amazon EC2) Elastic Compute Gateway AutoAcceptSharedAttachments s 未启用 “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”，则 Transit Gateway 的规则不合规。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）端点不可公开访问。如果终端节点可公开访问，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [restricted-ssh](restricted-ssh.md) | 注意：对于此规则，规则标识符（INCOMING\_SSH\_DISABLED）和规则名称（restricted-ssh）是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限（CIDR 而不是 0.0.0.0/0 或 ::/0），则此规则为 COMPLIANT。否则，将为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [appsync-associated-with-waf](appsync-associated-with-waf.md) | 确保 AWS AppSync APIs 与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。如果 AWS AppSync API 未与 Web ACL 关联，则该规则不合规。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息，则此规则为 NON\_COMPLIANT；如果不包含任何登录信息，则此规则为 COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | 确保限制网络访问控制列表 (NACLs) 的 SSH/RDP 入口流量的默认端口。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [waf-global-webacl-not-empty](waf-global-webacl-not-empty.md) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [waf-global-rule-not-empty](waf-global-rule-not-empty.md) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | 确保 AWS Client VPN 授权规则不授权所有客户端的连接访问权限。如果 “AccessAll” 存在且设置为 true，则该规则不兼容。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | 确保互联网网关连接到授权的虚拟私有云（Amazon VPC）。如果互联网网关连接到未经授权的 VPC，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| 1.4.2 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| 1.4.3 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| 1.4.3 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| 1.4.3 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [netfw-policy-default-action-full-packets](netfw-policy-default-action-full-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对完整数据包的默认无状态操作。如果针对完整数据包的默认无状态操作与用户定义的默认无状态操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| 1.4.4 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [api-gw-endpoint-type-检查](api-gw-endpoint-type-check.md) | 确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配，则规则返回 NON\_COMPLIANT。 | 
| 1.4.4 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | 确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。如果未启用 “enhancedVpcRouting” 或配置了该规则，则该规则不兼容。 enhancedVpcRouting 字段为 “假”。 | 
| 1.4.4 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | 确保互联网网关连接到授权的虚拟私有云（Amazon VPC）。如果互联网网关连接到未经授权的 VPC，则此规则为 NON\_COMPLIANT。 | 
| 1.4.5 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [ecs-task-definition-pid-mode-check](ecs-task-definition-pid-mode-check.md) | 确保将 ECSTask定义配置为与其亚马逊弹性容器服务 (Amazon ECS) 容器共享主机的进程命名空间。如果 pidMode 参数设置为“host”，则此规则为 NON\_COMPLIANT。 | 
| 1.4.5 |  可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0） | [ec2-launch-template-public-ip-disabled](ec2-launch-template-public-ip-disabled.md) | 确保 Amazon EC2 启动模板没有设置为向网络接口分配公有 IP 地址。如果 EC2 启动模板的默认版本至少有 1 个网络接口，且将 “” 设置为 “trueAssociatePublicIpAddress”，则该规则不合规。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [api-gw-endpoint-type-检查](api-gw-endpoint-type-check.md) | 确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配，则规则返回 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | 确保 Amazon CloudFront 发行版与网络应用程序防火墙 (WAF) 或 WAFv2 网络访问控制列表 (ACLs) 关联。如果 CloudFront 分配未与 WAF Web ACL 关联，则该规则不兼容。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [rds-db-security-group-not-allowed](rds-db-security-group-not-allowed.md) | 确保 Amazon Relational Database Service（Amazon RDS）数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [ec2-transit-gateway-auto-vpc-attach-disabled](ec2-transit-gateway-auto-vpc-attach-disabled.md) | 确保亚马逊弹性计算云 (Amazon EC2) Elastic Compute Gateway AutoAcceptSharedAttachments s 未启用 “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”，则 Transit Gateway 的规则不合规。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）端点不可公开访问。如果终端节点可公开访问，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [restricted-ssh](restricted-ssh.md) | 注意：对于此规则，规则标识符（INCOMING\_SSH\_DISABLED）和规则名称（restricted-ssh）是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限（CIDR 而不是 0.0.0.0/0 或 ::/0），则此规则为 COMPLIANT。否则，将为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [appsync-associated-with-waf](appsync-associated-with-waf.md) | 确保 AWS AppSync APIs 与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。如果 AWS AppSync API 未与 Web ACL 关联，则该规则不合规。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息，则此规则为 NON\_COMPLIANT；如果不包含任何登录信息，则此规则为 COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | 确保限制网络访问控制列表 (NACLs) 的 SSH/RDP 入口流量的默认端口。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [waf-global-webacl-not-empty](waf-global-webacl-not-empty.md) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [waf-global-rule-not-empty](waf-global-rule-not-empty.md) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | 确保 AWS Client VPN 授权规则不授权所有客户端的连接访问权限。如果 “AccessAll” 存在且设置为 true，则该规则不兼容。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | 确保互联网网关连接到授权的虚拟私有云（Amazon VPC）。如果互联网网关连接到未经授权的 VPC，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| 1.5.1 |  可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.1 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.3 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.4 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.5 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.6 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.1.7 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.2.2 |  实施审计日志，以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.3.1 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.3.2 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | 确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。如果至少有一个跟踪满足以下所有条件，则此规则为 COMPLIANT： | 
| 10.3.2 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | 确保 Amazon Neptune 手动数据库集群快照不是公开快照。如果任何现有和新的 Neptune 集群快照是公有的，则此规则为 NON\_COMPLIANT。 | 
| 10.3.2 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| 10.3.2 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 10.3.2 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| 10.3.2 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| 10.3.2 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| 10.3.2 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | 确保 Amazon Simple Storage Service（Amazon S3）存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [aurora-resources-protected-by-备份计划](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-protected-by-backup-plan.html) | 确保 Amazon Aurora 数据库集群受备份计划的保护。如果 Amazon Relational Database Service（Amazon RDS）数据库集群未受备份计划保护，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [db-instance-backup-enabled](db-instance-backup-enabled.md) | 确保 RDS 数据库实例已启用备份。（可选）此规则将检查备份保留期和备份时段。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | 确保备份计划中有 Amazon DynamoDB 表。 AWS 如果任何备份计划中都没有 Amazon DynamoDB 表，则该规则不合规。 AWS  | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [dynamodb-resources-protected-by-备份计划](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html) | 确保 Amazon DynamoDB 表受备份计划的保护。如果 DynamoDB 表不在备份计划范围内，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [ebs-in-backup-plan](ebs-in-backup-plan.md) | 确保在 Backup 的备份计划中添加亚马逊 Elastic Block Store (Amazon EBS) 卷。 AWS 如果备份计划中未包含 Amazon EBS 卷，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [ebs-resources-protected-by-备份计划](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html) | 确保 Amazon Elastic Block Store（Amazon EBS）卷受备份计划的保护。如果备份计划不涵盖 Amazon EBS 卷，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [ec2 resources-protected-by-backup-计划](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-protected-by-backup-plan.html) | 确保 Amazon Elastic Compute Cloud（Amazon EC2）实例受备份计划的保护。如果备份计划不涵盖 Amazon EC2 实例，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [efs-in-backup-plan](efs-in-backup-plan.md) | 确保将 Amazon Elastic File System (Amazon EFS) 文件系统添加到 Backu AWS p 的备份计划中。如果备份计划中不包括 EFS 文件系统，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [efs-resources-protected-by-备份计划](https://docs.aws.amazon.com/config/latest/developerguide/efs-resources-protected-by-backup-plan.html) | 确保 Amazon Elastic File System（Amazon EFS）文件系统受备份计划的保护。如果 EFS 文件系统不在备份计划范围内，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [elasticache-redis-cluster-automatic-backup-check](elasticache-redis-cluster-automatic-backup-check.md) | 检查 Amazon ElastiCache Redis 集群是否已开启自动备份。如果 Redis 集群的规则小于 SnapshotRetentionLimit 参数，则该规则不合规。 SnapshotRetentionPeriod 例如：如果参数为 15，则如果介于 0-15 之间，则规则不合规。 snapshotRetentionPeriod  | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [fsx-resources-protected-by-备份计划](https://docs.aws.amazon.com/config/latest/developerguide/fsx-resources-protected-by-backup-plan.html) | 确保 Amazon FSx 文件系统受备份计划的保护。如果备份计划不涵盖亚马逊 FSx 文件系统，则该规则不合规。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [neptune-cluster-backup-retention-check](neptune-cluster-backup-retention-check.md) | 确保 Amazon Neptune 数据库集群的留存期设置为特定天数。如果保留期小于参数指定的值，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [rds-in-backup-plan](rds-in-backup-plan.md) | 确保 AWS 备份计划中包含亚马逊关系数据库服务 (Amazon RDS) 数据库。如果任何 AWS 备份计划中均未包含 Amazon RDS 数据库，则该规则不合规。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [rds-resources-protected-by-备份计划](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html) | 确保 Amazon Relational Database Service（Amazon RDS）实例受备份计划的保护。如果备份计划不涵盖 Amazon RDS 数据库实例，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [redshift-backup-enabled](redshift-backup-enabled.md) | 确保集群启用了 Amazon Redshift 自动快照。如果 “ automatedSnapshotRetention周期” 的值大于 MaxRetentionPeriod 或小于 MinRetentionPeriod 或值为 0，则该规则不合规。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [s3 resources-protected-by-backup-计划](https://docs.aws.amazon.com/config/latest/developerguide/s3-resources-protected-by-backup-plan.html) | 确保 Amazon Simple Storage Service（Amazon S3）存储桶受备份计划的保护。如果备份计划不涵盖 Amazon S3 存储桶，则此规则为 NON\_COMPLIANT。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | 确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。如果至少有一个跟踪满足以下所有条件，则此规则为 COMPLIANT： | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [db-instance-backup-enabled](db-instance-backup-enabled.md) | 确保 RDS 数据库实例已启用备份。（可选）此规则将检查备份保留期和备份时段。 | 
| 10.3.3 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | 确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。如果 DynamoDB 表未启用 PITR，则此规则为 NON\_COMPLIANT。 | 
| 10.3.4 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [cloudfront-origin-access-identity-enabled](cloudfront-origin-access-identity-enabled.md) | 确保使用 Amazon S3 Origin 类型的 CloudFront 分配已配置源访问身份 (OAI)。如果 CloudFront 分配由 S3 支持，并且任何源类型未配置 OAI，或者源不是 S3 存储桶，则该规则不合规。 | 
| 10.3.4 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [cloudfront-s3-origin-access-control-enabled](cloudfront-s3-origin-access-control-enabled.md) | 确保使用亚马逊简单存储服务 (Amazon S3) Service Origin 类型的亚马逊 CloudFront 分发已启用源站访问控制 (OAC)。对于源自 Amazon S3 但未启用 OAC 的 CloudFront 分配，该规则不合规。 | 
| 10.3.4 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [s3-bucket-default-lock-enabled](s3-bucket-default-lock-enabled.md) | 确保默认情况下 S3 存储桶启用了锁定。如果锁定未启用，则规则为 NON\_COMPLIANT。 | 
| 10.3.4 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | 确保已针对您的 S3 存储桶启用版本控制。(可选）该规则检查是否为您的 S3 存储桶启用了 MFA 删除。 | 
| 10.3.4 |  保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0） | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | 确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。如果至少有一个跟踪满足以下所有条件，则此规则为 COMPLIANT： | 
| 10.4.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.4.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| 10.4.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| 10.4.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.4.1.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.1.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| 10.4.1.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| 10.4.1.1 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 10.4.2 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.4.2 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| 10.4.2 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.2 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.2 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.4.2 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| 10.4.2 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| 10.4.2 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 10.4.3 |  审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.5.1 |  审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0） | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | 确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。如果至少有一个跟踪满足以下所有条件，则此规则为 COMPLIANT： | 
| 10.5.1 |  审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0） | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | 确保 EBS 卷附加到 EC2 实例。（可选）确保 EBS 卷已标记为在实例终止时删除。 | 
| 10.5.1 |  审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0） | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | 确保私有 Amazon Elastic Container Registry（ECR）存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略，则此规则为 NON\_COMPLIANT。 | 
| 10.5.1 |  审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0） | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | 确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。如果 DynamoDB 表未启用 PITR，则此规则为 NON\_COMPLIANT。 | 
| 10.5.1 |  审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0） | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | 确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天，或者设置为指定的保留期。如果保留期小于（如果指定），则该规则不合规 MinRetentionTime，否则为 365 天。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 10.6.3 |  时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudformation-stack-notification-check](cloudformation-stack-notification-check.md) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知，则该规则不合规。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| 10.7.1 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudformation-stack-notification-check](cloudformation-stack-notification-check.md) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知，则该规则不合规。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| 10.7.2 |  检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 11.5.2 |  检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0） | [cloudformation-stack-notification-check](cloudformation-stack-notification-check.md) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知，则该规则不合规。 | 
| 11.5.2 |  检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 11.5.2 |  检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 11.5.2 |  检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0） | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 确保具有给定指标名称的 CloudWatch 警报具有指定的设置。 | 
| 11.5.2 |  检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 11.6.1 |  检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0） | [cloudformation-stack-notification-check](cloudformation-stack-notification-check.md) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知，则该规则不合规。 | 
| 11.6.1 |  检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 11.6.1 |  检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 11.6.1 |  检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0） | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 确保具有给定指标名称的 CloudWatch 警报具有指定的设置。 | 
| 11.6.1 |  检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 12.10.5 |  立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0） | [cloudformation-stack-notification-check](cloudformation-stack-notification-check.md) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知，则该规则不合规。 | 
| 12.10.5 |  立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 12.10.5 |  立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| 12.10.5 |  立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 确保具有给定指标名称的 CloudWatch 警报具有指定的设置。 | 
| 12.10.5 |  立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| 12.4.2.1 |  PCI DSS 合规性受到管理。(PCI-DSS-v4.0） | [service-catalog-shared-within-organization](service-catalog-shared-within-organization.md) | 在启用与 Organizations 的集成后，确保 S AWS ervice Catalog 与 AWS 组织共享投资组合（一组被视为单个单元的 AWS 账户）。如果共享的“Type”值为“ACCOUNT”，则此规则为 NON\_COMPLIANT。 | 
| 2.2.5 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [cloudfront-security-policy-check](cloudfront-security-policy-check.md) | 确保 Amazon CloudFront 发行版使用最低安全策略和 TLSv1 2.2 或更高版本的密码套件进行查看者连接。如果低于 TLSv1 .2\_2018，则此规则不符合 CloudFront 分配。 minimumProtocolVersion  | 
| 2.2.5 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [cloudfront-sni-enabled](cloudfront-sni-enabled.md) | 确保亚马逊 CloudFront 分发使用自定义 SSL 证书，并配置为使用 SNI 来处理 HTTPS 请求。如果关联了自定义 SSL 证书，但 SSL 支持方法是专用 IP 地址，则此规则为 NON\_COMPLIANT。 | 
| 2.2.5 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [transfer-family-server-no-ftp](transfer-family-server-no-ftp.md) | 确保使用 Transfer Fam AWS ily 创建的服务器不使用 FTP 进行端点连接。如果端点连接的服务器协议启用 FTP，则此规则为 NON\_COMPLIANT。 | 
| 2.2.5 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [cloudfront-no-deprecated-ssl-protocols](cloudfront-no-deprecated-ssl-protocols.md) | 确保 CloudFront 分发版本未使用已弃用的 SSL 协议进行 CloudFront 边缘站点和自定义源站之间的 HTTPS 通信。如果有 “包含OriginSslProtocols”，则此规则不符合 CloudFront 分配。SSLv3 | 
| 2.2.5 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [cloudfront-traffic-to-origin-encrypted](cloudfront-traffic-to-origin-encrypted.md) | 确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。如果 “” 是 “仅限 http”，或者 “” 是 “match-viewerOriginProtocolPolicy”，而 “” 是 “allow-all”，则该规则不兼容。OriginProtocolPolicy ViewerProtocolPolicy | 
| 2.2.5 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [cloudfront-viewer-policy-https](cloudfront-viewer-policy-https.md) | 确保您的 Amazon CloudFront 分配使用 HTTPS（直接使用或通过重定向）。如果将或的值设置 ViewerProtocolPolicy 为 “allow-all”，则该 DefaultCacheBehavior 规则不合规。 CacheBehaviors | 
| 2.2.7 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | 确保已启用 Redis 数据存储的AWS Dat AWS abase Migration Service (DMS) 端点，以便对与其他端点通信的数据进行 TLS/SSL 加密。如果未启用 TLS/SSL 加密，则该规则不兼容。 | 
| 2.2.7 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [cloudfront-no-deprecated-ssl-protocols](cloudfront-no-deprecated-ssl-protocols.md) | 确保 CloudFront 分发版本未使用已弃用的 SSL 协议进行 CloudFront 边缘站点和自定义源站之间的 HTTPS 通信。如果有 “包含OriginSslProtocols”，则此规则不符合 CloudFront 分配。SSLv3 | 
| 2.2.7 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [cloudfront-traffic-to-origin-encrypted](cloudfront-traffic-to-origin-encrypted.md) | 确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。如果 “” 是 “仅限 http”，或者 “” 是 “match-viewerOriginProtocolPolicy”，而 “” 是 “allow-all”，则该规则不兼容。OriginProtocolPolicy ViewerProtocolPolicy | 
| 2.2.7 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [cloudfront-viewer-policy-https](cloudfront-viewer-policy-https.md) | 确保您的 Amazon CloudFront 分配使用 HTTPS（直接使用或通过重定向）。如果将或的值设置 ViewerProtocolPolicy 为 “allow-all”，则该 DefaultCacheBehavior 规则不合规。 CacheBehaviors | 
| 2.2.7 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 2.2.7 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [dax-tls-endpoint-encryption](dax-tls-endpoint-encryption.md) | 确保您的亚马逊 DynamoDB 加速器 (DAX) 集群 ClusterEndpointEncryptionType 已设置为 TLS。如果 DAX 集群未通过传输层安全性协议（TLS）加密，则此规则为 NON\_COMPLIANT。 | 
| 2.2.7 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | 确保 Amazon MSK 集群使用 HTTPS（TLS）对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信，则此规则为 NON\_COMPLIANT。 | 
| 2.2.7 |  系统组件得到安全地配置和管理。(PCI-DSS-v4.0） | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) | 确保 AWS 数据库迁移服务 (AWS DMS) 端点配置有 SSL 连接。如果 AWS DMS 未配置 SSL 连接，则该规则不合规。 | 
| 3.2.1 |  账户数据的存储量保持在最低限度。(PCI-DSS-v4.0） | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | 确保 EBS 卷附加到 EC2 实例。（可选）确保 EBS 卷已标记为在实例终止时删除。 | 
| 3.2.1 |  账户数据的存储量保持在最低限度。(PCI-DSS-v4.0） | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | 确保私有 Amazon Elastic Container Registry（ECR）存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略，则此规则为 NON\_COMPLIANT。 | 
| 3.2.1 |  账户数据的存储量保持在最低限度。(PCI-DSS-v4.0） | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | 确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。如果 DynamoDB 表未启用 PITR，则此规则为 NON\_COMPLIANT。 | 
| 3.2.1 |  账户数据的存储量保持在最低限度。(PCI-DSS-v4.0） | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | 确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天，或者设置为指定的保留期。如果保留期小于（如果指定），则该规则不合规 MinRetentionTime，否则为 365 天。 | 
| 3.3.1.1 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | 确保 EBS 卷附加到 EC2 实例。（可选）确保 EBS 卷已标记为在实例终止时删除。 | 
| 3.3.1.1 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | 确保私有 Amazon Elastic Container Registry（ECR）存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略，则此规则为 NON\_COMPLIANT。 | 
| 3.3.1.1 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | 确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。如果 DynamoDB 表未启用 PITR，则此规则为 NON\_COMPLIANT。 | 
| 3.3.1.1 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | 确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天，或者设置为指定的保留期。如果保留期小于（如果指定），则该规则不合规 MinRetentionTime，否则为 365 天。 | 
| 3.3.1.3 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | 确保 EBS 卷附加到 EC2 实例。（可选）确保 EBS 卷已标记为在实例终止时删除。 | 
| 3.3.1.3 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | 确保私有 Amazon Elastic Container Registry（ECR）存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略，则此规则为 NON\_COMPLIANT。 | 
| 3.3.1.3 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | 确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。如果 DynamoDB 表未启用 PITR，则此规则为 NON\_COMPLIANT。 | 
| 3.3.1.3 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | 确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天，或者设置为指定的保留期。如果保留期小于（如果指定），则该规则不合规 MinRetentionTime，否则为 365 天。 | 
| 3.3.2 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | 确保 EBS 卷附加到 EC2 实例。（可选）确保 EBS 卷已标记为在实例终止时删除。 | 
| 3.3.2 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | 确保私有 Amazon Elastic Container Registry（ECR）存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略，则此规则为 NON\_COMPLIANT。 | 
| 3.3.2 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | 确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。如果 DynamoDB 表未启用 PITR，则此规则为 NON\_COMPLIANT。 | 
| 3.3.2 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | 确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天，或者设置为指定的保留期。如果保留期小于（如果指定），则该规则不合规 MinRetentionTime，否则为 365 天。 | 
| 3.3.3 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | 确保 EBS 卷附加到 EC2 实例。（可选）确保 EBS 卷已标记为在实例终止时删除。 | 
| 3.3.3 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | 确保私有 Amazon Elastic Container Registry（ECR）存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略，则此规则为 NON\_COMPLIANT。 | 
| 3.3.3 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | 确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。如果 DynamoDB 表未启用 PITR，则此规则为 NON\_COMPLIANT。 | 
| 3.3.3 |  授权后不存储敏感身份验证数据（SAD）。(PCI-DSS-v4.0） | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | 确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天，或者设置为指定的保留期。如果保留期小于（如果指定），则该规则不合规 MinRetentionTime，否则为 365 天。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [athena-workgroup-encrypted-at-休息](athena-workgroup-encrypted-at-rest.md) | 确保 Amazon Athena 工作组已启用静态加密。如果未为 Athena 工作组启用静态数据加密，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [neptune-cluster-snapshot-encrypted](neptune-cluster-snapshot-encrypted.md) | 确保 Amazon Neptune 数据库集群已加密快照。如果 Neptune 集群没有加密快照，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [redshift-cluster-kms-enabled](redshift-cluster-kms-enabled.md) | 确保 Amazon Redshift 集群使用指定的 AWS 密钥管理服务 (AWS KMS) 密钥进行加密。如果启用了加密并且使用 kmsKeyArn 参数中提供的密钥对集群进行加密，则该规则是合规的。如果集群未加密，或者是使用其他密钥加密的，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [codebuild-project-artifact-encryption](codebuild-project-artifact-encryption.md) | 确保 AWS CodeBuild 项目的所有工件都启用了加密。如果任何主要或次要（如果存在）构件配置的“encryptionDisabled”设置为“true”，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [codebuild-project-s3-logs-encrypted](codebuild-project-s3-logs-encrypted.md) | 确保使用 Amazon S3 日志配置的 AWS CodeBuild 项目已为其日志启用加密。如果在项目的 S3 中将 “encryptionDisabled” 设置为 “true”，则该规则不合规。LogsConfig CodeBuild  | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [dax-encryption-enabled](dax-encryption-enabled.md) | 确保 Amazon DynamoDB Accelerator（DAX）集群已加密。如果 DAX 集群未加密，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [eks-secrets-encrypted](eks-secrets-encrypted.md) | 确保将 Amazon Elastic Kubernetes Service 集群配置为使用密钥管理服务 (KMS) 密钥加 AWS 密 Kubernetes 密钥。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [api-gw-cache-enabled并已加密](api-gw-cache-enabled-and-encrypted.md) | 确保 Amazon API Gateway 阶段中的所有方法都启用了缓存并对缓存进行了加密。如果 Amazon API Gateway 阶段中的任何方法未配置为缓存或者缓存未加密，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [docdb-cluster-encrypted](docdb-cluster-encrypted.md) | 确保您的 Amazon DocumentDB（兼容 MongoDB）集群启用了存储加密。如果未启用存储加密，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [dynamodb-table-encrypted-kms](dynamodb-table-encrypted-kms.md) | 确保 AWS 使用密钥管理服务 (KMS) 对 Amazon DynamoDB 表进行加密。如果 Amazon DynamoDB 表未使用 KMS 加密，则该规则不合规。 AWS 如果 kmsKeyArns 输入参数中不存在加密的 AWS KMS 密钥，则该规则也属于 NON\_Complift。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [dynamodb-table-encryption-enabled](dynamodb-table-encryption-enabled.md) | 确保 Amazon DynamoDB 表已加密并检查其状态。如果状态为已启用或正在启用，则此规则为 COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | 确保项目不包含环境变量 AWS\_ACCESS\_KEY\_ID 和 AWS\_SECRET \_ACCESS\_KEY。如果项目环境变量包含明文凭证，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [eks-cluster-secrets-encrypted](eks-cluster-secrets-encrypted.md) | 确保 Amazon EKS 集群未配置为使用 KMS 加密 Kubernetes 密钥。 AWS 如果 EKS 集群没有 encryptionConfig 资源或 encryptionConfig 没有将机密用作资源，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [kinesis-stream-encrypted](kinesis-stream-encrypted.md) | 确保 Amazon Kinesis 流使用服务器端加密进行静态加密。如果不存在 “StreamEncryption”，则该规则不符合 Kinesis 直播的规则。 | 
| 3.5.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [neptune-cluster-encrypted](neptune-cluster-encrypted.md) | 确保您的 Amazon Neptune 数据库集群启用了存储加密。如果未启用存储加密，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.5.1.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.5.1.1 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | 确保 Amazon Neptune 手动数据库集群快照不是公开快照。如果任何现有和新的 Neptune 集群快照是公有的，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| 3.5.1.3 |  无论主账号（PAN）存储在何处，都受到保护。(PCI-DSS-v4.0） | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | 确保 Amazon Simple Storage Service（Amazon S3）存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用，则此规则为 NON\_COMPLIANT。 | 
| 3.6.1 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.6.1 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.6.1 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.6.1.2 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.6.1.2 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.6.1.2 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.6.1.3 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.6.1.3 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.6.1.3 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.6.1.4 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.6.1.4 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.6.1.4 |  用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.7.1 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [acm-certificate-rsa-check](acm-certificate-rsa-check.md) | 确保由 Certificate Manager (ACM) 管理的 RSA AWS 证书的密钥长度至少为 '2048' 位。如果最小密钥长度小于 2048 位，则该规则不合规。 | 
| 3.7.1 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.7.1 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.7.1 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.7.2 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.7.2 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.7.2 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.7.4 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.7.4 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.7.4 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.7.6 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.7.6 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.7.6 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 3.7.7 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 3.7.7 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 3.7.7 |  在使用加密技术来保护存储的账户数据时，定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 4.2.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | 确保已启用 Redis 数据存储的AWS Dat AWS abase Migration Service (DMS) 端点，以便对与其他端点通信的数据进行 TLS/SSL 加密。如果未启用 TLS/SSL 加密，则该规则不兼容。 | 
| 4.2.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [cloudfront-no-deprecated-ssl-protocols](cloudfront-no-deprecated-ssl-protocols.md) | 确保 CloudFront 分发版本未使用已弃用的 SSL 协议进行 CloudFront 边缘站点和自定义源站之间的 HTTPS 通信。如果有 “包含OriginSslProtocols”，则此规则不符合 CloudFront 分配。SSLv3 | 
| 4.2.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [cloudfront-traffic-to-origin-encrypted](cloudfront-traffic-to-origin-encrypted.md) | 确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。如果 “” 是 “仅限 http”，或者 “” 是 “match-viewerOriginProtocolPolicy”，而 “” 是 “allow-all”，则该规则不兼容。OriginProtocolPolicy ViewerProtocolPolicy | 
| 4.2.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [cloudfront-viewer-policy-https](cloudfront-viewer-policy-https.md) | 确保您的 Amazon CloudFront 分配使用 HTTPS（直接使用或通过重定向）。如果将或的值设置 ViewerProtocolPolicy 为 “allow-all”，则该 DefaultCacheBehavior 规则不合规。 CacheBehaviors | 
| 4.2.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 4.2.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [dax-tls-endpoint-encryption](dax-tls-endpoint-encryption.md) | 确保您的亚马逊 DynamoDB 加速器 (DAX) 集群 ClusterEndpointEncryptionType 已设置为 TLS。如果 DAX 集群未通过传输层安全性协议（TLS）加密，则此规则为 NON\_COMPLIANT。 | 
| 4.2.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | 确保 Amazon MSK 集群使用 HTTPS（TLS）对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信，则此规则为 NON\_COMPLIANT。 | 
| 4.2.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) | 确保 AWS 数据库迁移服务 (AWS DMS) 端点配置有 SSL 连接。如果 AWS DMS 未配置 SSL 连接，则该规则不合规。 | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [acm-pca-root-ca-已禁用](acm-pca-root-ca-disabled.md) | 确保 AWS 私有证书颁发机构（AWS 私有 CA）的根 CA 已禁用。对于状态不是 “禁用” 的 root 用户 CAs ，该规则不兼容。 | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | 确保已启用 Redis 数据存储的AWS Dat AWS abase Migration Service (DMS) 端点，以便对与其他端点通信的数据进行 TLS/SSL 加密。如果未启用 TLS/SSL 加密，则该规则不兼容。 | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [cloudfront-no-deprecated-ssl-protocols](cloudfront-no-deprecated-ssl-protocols.md) | 确保 CloudFront 分发版本未使用已弃用的 SSL 协议进行 CloudFront 边缘站点和自定义源站之间的 HTTPS 通信。如果有 “包含OriginSslProtocols”，则此规则不符合 CloudFront 分配。SSLv3 | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [cloudfront-traffic-to-origin-encrypted](cloudfront-traffic-to-origin-encrypted.md) | 确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。如果 “” 是 “仅限 http”，或者 “” 是 “match-viewerOriginProtocolPolicy”，而 “” 是 “allow-all”，则该规则不兼容。OriginProtocolPolicy ViewerProtocolPolicy | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [cloudfront-viewer-policy-https](cloudfront-viewer-policy-https.md) | 确保您的 Amazon CloudFront 分配使用 HTTPS（直接使用或通过重定向）。如果将或的值设置 ViewerProtocolPolicy 为 “allow-all”，则该 DefaultCacheBehavior 规则不合规。 CacheBehaviors | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [dax-tls-endpoint-encryption](dax-tls-endpoint-encryption.md) | 确保您的亚马逊 DynamoDB 加速器 (DAX) 集群 ClusterEndpointEncryptionType 已设置为 TLS。如果 DAX 集群未通过传输层安全性协议（TLS）加密，则此规则为 NON\_COMPLIANT。 | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | 确保 Amazon MSK 集群使用 HTTPS（TLS）对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信，则此规则为 NON\_COMPLIANT。 | 
| 4.2.1.1 |  PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0） | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) | 确保 AWS 数据库迁移服务 (AWS DMS) 端点配置有 SSL 连接。如果 AWS DMS 未配置 SSL 连接，则该规则不合规。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | 确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。如果至少有一个跟踪满足以下所有条件，则此规则为 COMPLIANT： | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| 5.3.4 |  反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0） | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | 确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天，或者设置为指定的保留期。如果保留期小于（如果指定），则该规则不合规 MinRetentionTime，否则为 365 天。 | 
| 6.3.3 |  识别并解决安全漏洞。(PCI-DSS-v4.0） | [lambda-function-settings-check](lambda-function-settings-check.md) | 确保运行时间、角色、超时和内存大小的 AWS Lambda 函数设置与预期值相匹配。此规则忽略包类型为“Image”的函数和运行时设置为“仅限操作系统的运行时”的函数。如果 Lambda 函数设置与预期值不匹配，则此规则为 NON\_COMPLIANT。 | 
| 6.3.3 |  识别并解决安全漏洞。(PCI-DSS-v4.0） | [eks-cluster-oldest-supported-version](eks-cluster-oldest-supported-version.md) | 确保 Amazon Elastic Kubernetes Service（EKS）集群运行的不是支持的最旧版本。如果 EKS 集群运行的是支持的最旧版本（等于参数“oldestVersionSupported”），则此规则为 NON\_COMPLIANT。 | 
| 6.4.1 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | 确保 Amazon CloudFront 发行版与网络应用程序防火墙 (WAF) 或 WAFv2 网络访问控制列表 (ACLs) 关联。如果 CloudFront 分配未与 WAF Web ACL 关联，则该规则不兼容。 | 
| 6.4.1 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [appsync-associated-with-waf](appsync-associated-with-waf.md) | 确保 AWS AppSync APIs 与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。如果 AWS AppSync API 未与 Web ACL 关联，则该规则不合规。 | 
| 6.4.1 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [wafv2-webacl-not-empty](wafv2-webacl-not-empty.md) | 确保 WAFv2 Web ACL 包含任何 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或 WAF 规则组，则此规则为 NON\_COMPLIANT。 | 
| 6.4.1 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [wafv2-rulegroup-not-empty](wafv2-rulegroup-not-empty.md) | 确保 WAFv2 规则组包含规则。如果规则组中没有规则，则该规则为 “不合规”。 WAFv2  | 
| 6.4.1 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [waf-global-webacl-not-empty](waf-global-webacl-not-empty.md) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此规则为 NON\_COMPLIANT。 | 
| 6.4.1 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 6.4.1 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 6.4.1 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [waf-global-rule-not-empty](waf-global-rule-not-empty.md) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件，则此规则为 NON\_COMPLIANT。 | 
| 6.4.2 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | 确保 Amazon CloudFront 发行版与网络应用程序防火墙 (WAF) 或 WAFv2 网络访问控制列表 (ACLs) 关联。如果 CloudFront 分配未与 WAF Web ACL 关联，则该规则不兼容。 | 
| 6.4.2 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [appsync-associated-with-waf](appsync-associated-with-waf.md) | 确保 AWS AppSync APIs 与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。如果 AWS AppSync API 未与 Web ACL 关联，则该规则不合规。 | 
| 6.4.2 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [wafv2-webacl-not-empty](wafv2-webacl-not-empty.md) | 确保 WAFv2 Web ACL 包含任何 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或 WAF 规则组，则此规则为 NON\_COMPLIANT。 | 
| 6.4.2 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [wafv2-rulegroup-not-empty](wafv2-rulegroup-not-empty.md) | 确保 WAFv2 规则组包含规则。如果规则组中没有规则，则该规则为 “不合规”。 WAFv2  | 
| 6.4.2 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [waf-global-webacl-not-empty](waf-global-webacl-not-empty.md) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此规则为 NON\_COMPLIANT。 | 
| 6.4.2 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 6.4.2 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| 6.4.2 |  面向公众的 Web 应用程序受到保护，可免受攻击。(PCI-DSS-v4.0） | [waf-global-rule-not-empty](waf-global-rule-not-empty.md) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件，则此规则为 NON\_COMPLIANT。 | 
| 6.5.5 |  所有系统组件的更改均得到安全管理。(PCI-DSS-v4.0） | [codedeploy-lambda-allatonce-traffic-shift-禁用](https://docs.aws.amazon.com/config/latest/developerguide/codedeploy-lambda-allatonce-traffic-shift-disabled.html) | 确保 Lambda 计算平台的部署组未使用默认部署配置。如果部署组使用部署配置 “”，则该规则不兼容。CodeDeployDefault LambdaAllAtOnce'。 | 
| 6.5.5 |  所有系统组件的更改均得到安全管理。(PCI-DSS-v4.0） | [codepipeline-deployment-count-check](codepipeline-deployment-count-check.md) | 确保的第一个部署阶段至少 AWS CodePipeline 执行一次部署。这是为了监控持续部署活动，确保定期更新，并识别不活跃或未充分利用的管道，这些管道可能表明开发或部署过程中存在问题。（可选）确保后续剩余每个阶段执行的部署数超过指定的部署数（deploymentLimit）。 | 
| 6.5.6 |  所有系统组件的更改均得到安全管理。(PCI-DSS-v4.0） | [codedeploy-lambda-allatonce-traffic-shift-禁用](https://docs.aws.amazon.com/config/latest/developerguide/codedeploy-lambda-allatonce-traffic-shift-disabled.html) | 确保 Lambda 计算平台的部署组未使用默认部署配置。如果部署组使用部署配置 “”，则该规则不兼容。CodeDeployDefault LambdaAllAtOnce'。 | 
| 6.5.6 |  所有系统组件的更改均得到安全管理。(PCI-DSS-v4.0） | [codepipeline-deployment-count-check](codepipeline-deployment-count-check.md) | 确保的第一个部署阶段至少 AWS CodePipeline 执行一次部署。这是为了监控持续部署活动，确保定期更新，并识别不活跃或未充分利用的管道，这些管道可能表明开发或部署过程中存在问题。（可选）确保后续剩余每个阶段执行的部署数超过指定的部署数（deploymentLimit）。 | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 7.2.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 7.2.2 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.4 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | 确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。如果在 “unusedForDays” 天数内未访问密钥，则该规则不合规。默认值为 90 天。 | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 7.2.5 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.2.5.1 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | 确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。如果在 “unusedForDays” 天数内未访问密钥，则该规则不合规。默认值为 90 天。 | 
| 7.2.6 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 7.2.6 |  系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 7.3.1 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 7.3.2 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 7.3.3 |  系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.2.1 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 8.2.1 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | 确保正在运行的 Amazon Elastic Compute Cloud（EC2）实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的，则此规则为 NON\_COMPLIANT。 | 
| 8.2.2 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 8.2.2 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | 确保正在运行的 Amazon Elastic Compute Cloud（EC2）实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的，则此规则为 NON\_COMPLIANT。 | 
| 8.2.2 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | 确保项目不包含环境变量 AWS\_ACCESS\_KEY\_ID 和 AWS\_SECRET \_ACCESS\_KEY。如果项目环境变量包含明文凭证，则此规则为 NON\_COMPLIANT。 | 
| 8.2.2 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | 确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换，则此规则为 NON\_COMPLIANT。 | 
| 8.2.2 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | 确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。如果密钥的轮换时间未超过 maxDaysSince轮换天数，则该规则不合规。默认值为 90 天。 | 
| 8.2.2 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | 确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。如果在 “unusedForDays” 天数内未访问密钥，则该规则不合规。默认值为 90 天。 | 
| 8.2.4 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 8.2.4 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | 确保正在运行的 Amazon Elastic Compute Cloud（EC2）实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的，则此规则为 NON\_COMPLIANT。 | 
| 8.2.5 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 8.2.5 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | 确保正在运行的 Amazon Elastic Compute Cloud（EC2）实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的，则此规则为 NON\_COMPLIANT。 | 
| 8.2.6 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | 确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。如果在 “unusedForDays” 天数内未访问密钥，则该规则不合规。默认值为 90 天。 | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 8.2.7 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [ec2-imdsv2-check](ec2-imdsv2-check.md) | 确保您的亚马逊弹性计算云 (Amazon EC2) 实例元数据版本已配置为实例元数据服务版本 2 IMDSv2 ()。如果设置为可选，则该 HttpTokens 规则不兼容。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [autoscaling-launchconfig-requires-imdsv2](autoscaling-launchconfig-requires-imdsv2.md) | 确保仅启用 IMDSv2 该选项。如果启动配置中未包含元数据版本，或者同时启用了元数据 V1 和 V2，则此规则为 NON\_COMPLIANT。 | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 8.2.8 |  在整个账户生命周期中，对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.3.10.1 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [access-keys-rotated](access-keys-rotated.md) | 确保在使用期限中指定的天数内轮换（更改）有效的 IAM 访问密钥。 maxAccessKey如果访问密钥未在指定时间段内轮换，则此规则为 NON\_COMPLIANT。默认值为 90 天。 | 
| 8.3.10.1 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | 确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换，则此规则为 NON\_COMPLIANT。 | 
| 8.3.10.1 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | 确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。如果密钥的轮换时间未超过 maxDaysSince轮换天数，则该规则不合规。默认值为 90 天。 | 
| 8.3.11 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 8.3.11 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | 确保正在运行的 Amazon Elastic Compute Cloud（EC2）实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [athena-workgroup-encrypted-at-休息](athena-workgroup-encrypted-at-rest.md) | 确保 Amazon Athena 工作组已启用静态加密。如果未为 Athena 工作组启用静态数据加密，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [neptune-cluster-snapshot-encrypted](neptune-cluster-snapshot-encrypted.md) | 确保 Amazon Neptune 数据库集群已加密快照。如果 Neptune 集群没有加密快照，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [redshift-cluster-kms-enabled](redshift-cluster-kms-enabled.md) | 确保 Amazon Redshift 集群使用指定的 AWS 密钥管理服务 (AWS KMS) 密钥进行加密。如果启用了加密并且使用 kmsKeyArn 参数中提供的密钥对集群进行加密，则该规则是合规的。如果集群未加密，或者是使用其他密钥加密的，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [codebuild-project-artifact-encryption](codebuild-project-artifact-encryption.md) | 确保 AWS CodeBuild 项目的所有工件都启用了加密。如果任何主要或次要（如果存在）构件配置的“encryptionDisabled”设置为“true”，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [codebuild-project-s3-logs-encrypted](codebuild-project-s3-logs-encrypted.md) | 确保使用 Amazon S3 日志配置的 AWS CodeBuild 项目已为其日志启用加密。如果在项目的 S3 中将 “encryptionDisabled” 设置为 “true”，则该规则不合规。LogsConfig CodeBuild  | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [dax-encryption-enabled](dax-encryption-enabled.md) | 确保 Amazon DynamoDB Accelerator（DAX）集群已加密。如果 DAX 集群未加密，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | 确保已启用 Redis 数据存储的AWS Dat AWS abase Migration Service (DMS) 端点，以便对与其他端点通信的数据进行 TLS/SSL 加密。如果未启用 TLS/SSL 加密，则该规则不兼容。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [eks-secrets-encrypted](eks-secrets-encrypted.md) | 确保将 Amazon Elastic Kubernetes Service 集群配置为使用密钥管理服务 (KMS) 密钥加 AWS 密 Kubernetes 密钥。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [api-gw-cache-enabled并已加密](api-gw-cache-enabled-and-encrypted.md) | 确保 Amazon API Gateway 阶段中的所有方法都启用了缓存并对缓存进行了加密。如果 Amazon API Gateway 阶段中的任何方法未配置为缓存或者缓存未加密，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [docdb-cluster-encrypted](docdb-cluster-encrypted.md) | 确保您的 Amazon DocumentDB（兼容 MongoDB）集群启用了存储加密。如果未启用存储加密，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [dynamodb-table-encrypted-kms](dynamodb-table-encrypted-kms.md) | 确保 AWS 使用密钥管理服务 (KMS) 对 Amazon DynamoDB 表进行加密。如果 Amazon DynamoDB 表未使用 KMS 加密，则该规则不合规。 AWS 如果 kmsKeyArns 输入参数中不存在加密的 AWS KMS 密钥，则该规则也属于 NON\_Complift。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [dynamodb-table-encryption-enabled](dynamodb-table-encryption-enabled.md) | 确保 Amazon DynamoDB 表已加密并检查其状态。如果状态为已启用或正在启用，则此规则为 COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [cloudfront-no-deprecated-ssl-protocols](cloudfront-no-deprecated-ssl-protocols.md) | 确保 CloudFront 分发版本未使用已弃用的 SSL 协议进行 CloudFront 边缘站点和自定义源站之间的 HTTPS 通信。如果有 “包含OriginSslProtocols”，则此规则不符合 CloudFront 分配。SSLv3 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [cloudfront-traffic-to-origin-encrypted](cloudfront-traffic-to-origin-encrypted.md) | 确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。如果 “” 是 “仅限 http”，或者 “” 是 “match-viewerOriginProtocolPolicy”，而 “” 是 “allow-all”，则该规则不兼容。OriginProtocolPolicy ViewerProtocolPolicy | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [cloudfront-viewer-policy-https](cloudfront-viewer-policy-https.md) | 确保您的 Amazon CloudFront 分配使用 HTTPS（直接使用或通过重定向）。如果将或的值设置 ViewerProtocolPolicy 为 “allow-all”，则该 DefaultCacheBehavior 规则不合规。 CacheBehaviors | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | 确保项目不包含环境变量 AWS\_ACCESS\_KEY\_ID 和 AWS\_SECRET \_ACCESS\_KEY。如果项目环境变量包含明文凭证，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [dax-tls-endpoint-encryption](dax-tls-endpoint-encryption.md) | 确保您的亚马逊 DynamoDB 加速器 (DAX) 集群 ClusterEndpointEncryptionType 已设置为 TLS。如果 DAX 集群未通过传输层安全性协议（TLS）加密，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [eks-cluster-secrets-encrypted](eks-cluster-secrets-encrypted.md) | 确保 Amazon EKS 集群未配置为使用 KMS 加密 Kubernetes 密钥。 AWS 如果 EKS 集群没有 encryptionConfig 资源或 encryptionConfig 没有将机密用作资源，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [kinesis-stream-encrypted](kinesis-stream-encrypted.md) | 确保 Amazon Kinesis 流使用服务器端加密进行静态加密。如果不存在 “StreamEncryption”，则该规则不符合 Kinesis 直播的规则。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | 确保 Amazon MSK 集群使用 HTTPS（TLS）对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [neptune-cluster-encrypted](neptune-cluster-encrypted.md) | 确保您的 Amazon Neptune 数据库集群启用了存储加密。如果未启用存储加密，则此规则为 NON\_COMPLIANT。 | 
| 8.3.2 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) | 确保 AWS 数据库迁移服务 (AWS DMS) 端点配置有 SSL 连接。如果 AWS DMS 未配置 SSL 连接，则该规则不合规。 | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | 确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如，该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket \* 操作和 s3: DeleteObject 。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作，则此规则为 NON\_COMPLIANT。 | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | 确保您的 Amazon Simple Storage Service（S3）存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [shield-drt-access](shield-drt-access.md) | 确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。如果启用了 AWS Shield Advanced 但未配置 SRT 访问的角色，则该规则不合规。 | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [iam-policy-in-use](iam-policy-in-use.md) | 确保 IAM 策略 ARN 附加到 IAM 用户，或包含一个或多个 IAM 用户的组，或包含一个或多个受信任实体的 IAM 角色。 | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | 确保 Amazon Neptune 集群启用了 AWS 身份和访问管理 (IAM) Access Management 数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [rds-cluster-iam-authentication-enabled](rds-cluster-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 集群启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | 确保 EC2 实例附有 AWS 身份和访问管理 (IAM) 配置文件。如果 EC2 实例未附加 IAM 配置文件，则此规则为 NON\_COMPLIANT。 | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| 8.3.4 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [rds-instance-iam-authentication-enabled](rds-instance-iam-authentication-enabled.md) | 确保亚马逊关系数据库服务 (Amazon RDS) 实例启用了 AWS 身份和访问管理 (IAM) Access Management 身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证，则此规则为 NON\_COMPLIANT。 | 
| 8.3.5 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [access-keys-rotated](access-keys-rotated.md) | 确保在使用期限中指定的天数内轮换（更改）有效的 IAM 访问密钥。 maxAccessKey如果访问密钥未在指定时间段内轮换，则此规则为 NON\_COMPLIANT。默认值为 90 天。 | 
| 8.3.5 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | 确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换，则此规则为 NON\_COMPLIANT。 | 
| 8.3.5 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | 确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。如果密钥的轮换时间未超过 maxDaysSince轮换天数，则该规则不合规。默认值为 90 天。 | 
| 8.3.7 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [access-keys-rotated](access-keys-rotated.md) | 确保在使用期限中指定的天数内轮换（更改）有效的 IAM 访问密钥。 maxAccessKey如果访问密钥未在指定时间段内轮换，则此规则为 NON\_COMPLIANT。默认值为 90 天。 | 
| 8.3.7 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | 确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换，则此规则为 NON\_COMPLIANT。 | 
| 8.3.7 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | 确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。如果密钥的轮换时间未超过 maxDaysSince轮换天数，则该规则不合规。默认值为 90 天。 | 
| 8.3.9 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [access-keys-rotated](access-keys-rotated.md) | 确保在使用期限中指定的天数内轮换（更改）有效的 IAM 访问密钥。 maxAccessKey如果访问密钥未在指定时间段内轮换，则此规则为 NON\_COMPLIANT。默认值为 90 天。 | 
| 8.3.9 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | 确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换，则此规则为 NON\_COMPLIANT。 | 
| 8.3.9 |  为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0） | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | 确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。如果密钥的轮换时间未超过 maxDaysSince轮换天数，则该规则不合规。默认值为 90 天。 | 
| 8.4.1 |  实施多重身份验证（MFA）以保护对 CDE 的访问。(PCI-DSS-v4.0） | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | 确保 Amazon Simple Storage Service（Amazon S3）存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用，则此规则为 NON\_COMPLIANT。 | 
| 8.4.2 |  实施多重身份验证（MFA）以保护对 CDE 的访问。(PCI-DSS-v4.0） | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | 确保 Amazon Simple Storage Service（Amazon S3）存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用，则此规则为 NON\_COMPLIANT。 | 
| 8.4.3 |  实施多重身份验证（MFA）以保护对 CDE 的访问。(PCI-DSS-v4.0） | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | 确保 Amazon Simple Storage Service（Amazon S3）存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用，则此规则为 NON\_COMPLIANT。 | 
| 8.6.3 |  严格管理应用程序和系统账户以及相关的身份验证因素的使用。(PCI-DSS-v4.0） | [access-keys-rotated](access-keys-rotated.md) | 确保在使用期限中指定的天数内轮换（更改）有效的 IAM 访问密钥。 maxAccessKey如果访问密钥未在指定时间段内轮换，则此规则为 NON\_COMPLIANT。默认值为 90 天。 | 
| 8.6.3 |  严格管理应用程序和系统账户以及相关的身份验证因素的使用。(PCI-DSS-v4.0） | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | 确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换，则此规则为 NON\_COMPLIANT。 | 
| 8.6.3 |  严格管理应用程序和系统账户以及相关的身份验证因素的使用。(PCI-DSS-v4.0） | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | 确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。如果密钥的轮换时间未超过 maxDaysSince轮换天数，则该规则不合规。默认值为 90 天。 | 
| A1.1.2 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | 确保 Amazon Neptune 手动数据库集群快照不是公开快照。如果任何现有和新的 Neptune 集群快照是公有的，则此规则为 NON\_COMPLIANT。 | 
| A1.1.2 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| A1.1.2 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| A1.1.2 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| A1.1.2 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| A1.1.2 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| A1.1.2 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | 确保 Amazon Simple Storage Service（Amazon S3）存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [api-gw-endpoint-type-检查](api-gw-endpoint-type-check.md) | 确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配，则规则返回 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | 确保 Amazon CloudFront 发行版与网络应用程序防火墙 (WAF) 或 WAFv2 网络访问控制列表 (ACLs) 关联。如果 CloudFront 分配未与 WAF Web ACL 关联，则该规则不兼容。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书，则该规则不兼容。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | 确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [rds-db-security-group-not-allowed](rds-db-security-group-not-allowed.md) | 确保 Amazon Relational Database Service（Amazon RDS）数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [ec2-transit-gateway-auto-vpc-attach-disabled](ec2-transit-gateway-auto-vpc-attach-disabled.md) | 确保亚马逊弹性计算云 (Amazon EC2) Elastic Compute Gateway AutoAcceptSharedAttachments s 未启用 “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”，则 Transit Gateway 的规则不合规。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）端点不可公开访问。如果终端节点可公开访问，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [restricted-ssh](restricted-ssh.md) | 注意：对于此规则，规则标识符（INCOMING\_SSH\_DISABLED）和规则名称（restricted-ssh）是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限（CIDR 而不是 0.0.0.0/0 或 ::/0），则此规则为 COMPLIANT。否则，将为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [appsync-associated-with-waf](appsync-associated-with-waf.md) | 确保 AWS AppSync APIs 与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。如果 AWS AppSync API 未与 Web ACL 关联，则该规则不合规。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息，则此规则为 NON\_COMPLIANT；如果不包含任何登录信息，则此规则为 COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [elb-acm-certificate-required](elb-acm-certificate-required.md) | 确保传统负载均衡器使用 Certifice Manager 提供的 SSL AWS 证书。要使用此规则，请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | 确保限制网络访问控制列表 (NACLs) 的 SSH/RDP 入口流量的默认端口。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [waf-global-webacl-not-empty](waf-global-webacl-not-empty.md) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [waf-global-rulegroup-not-empty](waf-global-rulegroup-not-empty.md) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [waf-global-rule-not-empty](waf-global-rule-not-empty.md) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | 确保 AWS Client VPN 授权规则不授权所有客户端的连接访问权限。如果 “AccessAll” 存在且设置为 true，则该规则不兼容。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | 确保互联网网关连接到授权的虚拟私有云（Amazon VPC）。如果互联网网关连接到未经授权的 VPC，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| A1.1.3 |  多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果阶段配置中不存在 “accessLogSettings”，则该规则不兼容。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | 确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。如果 CloudFront 分配未配置日志记录，则该规则为 NON\_Complift。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | 确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。如果至少有一个跟踪满足以下所有条件，则此规则为 COMPLIANT： | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | 确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能，则该规则为 NON\_Complift。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTask定义未定义日志配置资源，或者在至少一个容器定义中日志配置的值为空，则此规则不合规。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意：对于此规则，规则标识符（CLOUD\_TRAIL\_ENABLED）和规则名称（cloudtrail-enabled）是不同的。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用，则规则为 NON\_COMPLIANT。或者，该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和日志组 CloudWatch 。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意：对于此规则，规则标识符 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) 和规则名称 () 不同。multi-region-cloudtrail-enabled确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配，则此规则为 NON\_COMPLIANT。如果该 ExcludeManagementEventSources 字段不为空或者配置为排除诸如 AWS KMS 事件或 Amazon RDS 数据 API 事件之类的管理事件，则 AWS CloudTrail 该规则不合规。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [appsync-logging-enabled](appsync-logging-enabled.md) | 确保 AWS AppSync API 已启用日志记录。如果未启用日志记录，则该规则不兼容，或者 “fieldLogLevel” 既不是错误也不是 “全部”。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [waf-classic-logging-enabled](waf-classic-logging-enabled.md) | 确保在 AWS WAF 经典版全局 Web 访问控制列表 (Web ACLs) 上启用日志记录。如果全局 Web ACL 未启用日志记录，则此规则为 NON\_COMPLIANT。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | 确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。如果代理未启用审核日志记录，则此规则为 NON\_COMPLIANT。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | 确保 Amazon MQ 代理已启用 CloudWatch 审计日志。如果代理未启用审计日志记录，则此规则为 NON\_COMPLIANT。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | 确保 Amazon Elastic Kubernetes Service（Amazon EKS）集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录，则此规则为 NON\_COMPLIANT。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | 确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch 如果 StreamLogs `的值为假，则该规则不合规。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | 确保 AWS Step Functions 计算机已启用日志功能。如果状态机未启用日志记录，或日志记录配置未达到提供的最低级别，则此规则为 NON\_COMPLIANT。 | 
| A1.2.1 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [netfw-logging-enabled](netfw-logging-enabled.md) | 确保 AWS Network Firewall 防火墙已启用日志记录。如果未配置日志记录类型，则此规则为 NON\_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | 
| A1.2.3 |  多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0） | [security-account-information-provided](security-account-information-provided.md) | 确保您已为 AWS 账户联系人提供了安全联系人信息。如果未提供账户内的安全联系人信息，则此规则为 NON\_COMPLIANT。 | 
| A3.2.5.1 |  PCI DSS 范围已记录在案并经过验证。(PCI-DSS-v4.0） | [macie-auto-sensitive-data-discovery-check](macie-auto-sensitive-data-discovery-check.md) | 确保为 Amazon Macie 启用了自动敏感数据发现。如果禁用自动敏感数据发现，则此规则为 NON\_COMPLIANT。该规则适用于管理员账户，而不适用于成员账户。 | 
| A3.2.5.1 |  PCI DSS 范围已记录在案并经过验证。(PCI-DSS-v4.0） | [macie-status-check](macie-status-check.md) | 确保每个区域的账户中均启用了 Amazon Macie。如果“status”属性未设置为“ENABLED”，则此规则为 NON\_COMPLIANT。 | 
| A3.2.5.2 |  PCI DSS 范围已记录在案并经过验证。(PCI-DSS-v4.0） | [macie-auto-sensitive-data-discovery-check](macie-auto-sensitive-data-discovery-check.md) | 确保为 Amazon Macie 启用了自动敏感数据发现。如果禁用自动敏感数据发现，则此规则为 NON\_COMPLIANT。该规则适用于管理员账户，而不适用于成员账户。 | 
| A3.2.5.2 |  PCI DSS 范围已记录在案并经过验证。(PCI-DSS-v4.0） | [macie-status-check](macie-status-check.md) | 确保每个区域的账户中均启用了 Amazon Macie。如果“status”属性未设置为“ENABLED”，则此规则为 NON\_COMPLIANT。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [cloudformation-stack-notification-check](cloudformation-stack-notification-check.md) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知，则该规则不合规。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 确保具有给定指标名称的 CloudWatch 警报具有指定的设置。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| A3.3.1 |  PCI DSS 已纳入 business-as-usual（BAU）活动中。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 
| A3.4.1 |  对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0） | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | 确保 Amazon Neptune 手动数据库集群快照不是公开快照。如果任何现有和新的 Neptune 集群快照是公有的，则此规则为 NON\_COMPLIANT。 | 
| A3.4.1 |  对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0） | [docdb-cluster-snapshot-public-prohibited](docdb-cluster-snapshot-public-prohibited.md) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照，则此规则为 NON\_COMPLIANT。 | 
| A3.4.1 |  对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | [backup-recovery-point-manual-删除-禁用](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句（带有 backup: DeleteRecoveryPoint、backup: 和 backup: 权限的语句）UpdateRecoveryPointLifecycle，则该规则不合规。PutBackupVaultAccessPolicy  | 
| A3.4.1 |  对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0） | [emr-block-public-access](emr-block-public-access.md) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果为 false，则该规则不兼容；如果 BlockPublicSecurityGroupRules 为 true，则列出端口 22 以外的端口。 PermittedPublicSecurityGroupRuleRanges | 
| A3.4.1 |  对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | 确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。如果在 “unusedForDays” 天数内未访问密钥，则该规则不合规。默认值为 90 天。 | 
| A3.4.1 |  对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0） | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置，则此规则为 NON\_COMPLIANT。 | 
| A3.4.1 |  对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0） | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时，该规则才为 NON\_COMPLIANT。 | 
| A3.4.1 |  对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0） | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | 确保 Amazon Simple Storage Service（Amazon S3）存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用，则此规则为 NON\_COMPLIANT。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [api-gw-xray-enabled](api-gw-xray-enabled.md) | 确保在 Amazon API Gateway REST 上启用 AWS X-REST 追踪 APIs。如果已启用 X-Ray 跟踪，则此规则为 COMPLIANT，否则为 NON\_COMPLIANT。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [cloudformation-stack-notification-check](cloudformation-stack-notification-check.md) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知，则该规则不合规。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控，则此规则为 NON\_COMPLIANT。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | 确保 CloudWatch 警报的操作配置为 “警报”、“数据不足” 或 “正常” 状态。（可选）确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作，则此规则为 NON\_COMPLIANT。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | 确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型，您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报，则该规则合规。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 确保具有给定指标名称的 CloudWatch 警报具有指定的设置。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | 确保已启用 AWS WAFv2 规则组上的 Amazon CloudWatch 安全指标收集。如果是 '，则该规则不合规。VisibilityConfig CloudWatchMetricsEnabled'字段设置为 false。 | 
| A3.5.1 |  发现并响应可疑事件。(PCI-DSS-v4.0） | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | 确保已启用 Amazon Simple Notification Service（SNS）日志记录，以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知，则此规则为 NON\_COMPLIANT。 | 

## 模板
<a name="operational-best-practices-for-pci-dss-v4-including-global-resource-types-conformance-pack-sample"></a>

该模板可在以下网址获得 GitHub：[PCI DSS 4.0 最佳运营实践（包括全球资源类型](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml)）。